Создаються пользователи(Win XP 64 bit) (заявка №18453)

Пользователь обратился [URL=http://virusinfo.info/911test]в сервис 911[/URL], указав на следующие проблемы в работе его компьютера:
При каждой загрузке появляются два новых польз. SYS и TEMP с полными правами...на всех дисках висят файлы autorun.exe и autorun.inf...ни один антивир не видит угрозы...
при каждой загрузке создаются safesurf.exe surfguard.exe up.exe
в netstat куча соеденений
Drweb live cd не помог
отправлял карантин и подозрительные файлы касперскому...в ответ "не обнаружено вредоносного кода"
Очень очень нужна помощь
На XP 32bit помог только Combofix
Дата обращения: 10.05.2010 15:32:40
Номер заявки: [URL=http://virusinfo.info/911test/?action=case_show_directions&case_id=18453]18453[/URL]

[B]12.05.2010 16:40:19[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\WINDOWS\SysWOW64\mydocs.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 796160 байт[*] дата файла: 07.05.2008 17:36:32[*] версия: "6.00.3790.3959 (srv03_sp2_rtm.070216-1710)"[*] копирайты: "© Microsoft Corporation. All rights reserved."[/LIST][*] [B]C:\WINDOWS\system32\regedit.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 147456 байт[*] дата файла: 18.02.2007 15:00:00[*] версия: "5.2.3790.3959 (srv03_sp2_rtm.070216-1710)"[*] копирайты: "© Microsoft Corporation. All rights reserved."[/LIST][*] [B]C:\WINDOWS\system32\svсhost.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 389120 байт[*] дата файла: 18.02.2007 15:00:00[*] версия: "5.2.3790.3959 (srv03_sp2_rtm.070216-1710)"[*] копирайты: "© Microsoft Corporation. All rights reserved."[/LIST][*] [B]C:\WINDOWS\system32\twain_32.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 77312 байт[*] дата файла: 21.03.2007 20:54:16[*] версия: "1,6,0,3"[/LIST][*] [B]C:\WINDOWS\system32\twunk_16.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 48560 байт[*] дата файла: 21.03.2007 20:54:16[*] версия: "1,6,0,1"[/LIST][*] [B]C:\WINDOWS\system32\сsrss.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 18432 байт[*] дата файла: 18.02.2007 15:00:00[*] версия: "5.2.3790.0 (srv03_rtm.030324-2048)"[*] копирайты: "© Microsoft Corporation. All rights reserved."[/LIST][*] [B]G:\autorun.inf[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 91 байт[*] дата файла: 26.03.2010 23:55:42[/LIST][*] [B]E:\autorun.inf[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 91 байт[*] дата файла: 26.03.2010 23:55:42[/LIST][*] [B]F:\autorun.inf[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 91 байт[*] дата файла: 26.03.2010 23:55:42[/LIST][/LIST]

[B]12.05.2010 17:30:24[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\WINDOWS\SysWOW64\mydocs.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 796160 байт[*] дата файла: 07.05.2008 17:36:32[*] версия: "6.00.3790.3959 (srv03_sp2_rtm.070216-1710)"[*] копирайты: "© Microsoft Corporation. All rights reserved."[/LIST][*] [B]C:\WINDOWS\system32\regedit.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 147456 байт[*] дата файла: 18.02.2007 15:00:00[*] версия: "5.2.3790.3959 (srv03_sp2_rtm.070216-1710)"[*] копирайты: "© Microsoft Corporation. All rights reserved."[/LIST][*] [B]C:\WINDOWS\system32\svсhost.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 389120 байт[*] дата файла: 18.02.2007 15:00:00[*] версия: "5.2.3790.3959 (srv03_sp2_rtm.070216-1710)"[*] копирайты: "© Microsoft Corporation. All rights reserved."[/LIST][*] [B]C:\WINDOWS\system32\twain_32.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 77312 байт[*] дата файла: 21.03.2007 20:54:16[*] версия: "1,6,0,3"[/LIST][*] [B]C:\WINDOWS\system32\twunk_16.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 48560 байт[*] дата файла: 21.03.2007 20:54:16[*] версия: "1,6,0,1"[/LIST][*] [B]C:\WINDOWS\system32\сsrss.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 18432 байт[*] дата файла: 18.02.2007 15:00:00[*] версия: "5.2.3790.0 (srv03_rtm.030324-2048)"[*] копирайты: "© Microsoft Corporation. All rights reserved."[/LIST][*] [B]G:\autorun.inf[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 91 байт[*] дата файла: 26.03.2010 23:55:42[/LIST][*] [B]E:\autorun.inf[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 91 байт[*] дата файла: 26.03.2010 23:55:42[/LIST][*] [B]F:\autorun.inf[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 91 байт[*] дата файла: 26.03.2010 23:55:42[/LIST][/LIST]

[B]16.05.2010 18:10:14[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]G:\Autorun.inf[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 91 байт[*] дата файла: 26.03.2010 23:55:42[/LIST][*] [B]F:\Autorun.inf[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 91 байт[*] дата файла: 26.03.2010 23:55:42[/LIST][*] [B]E:\Autorun.inf[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 91 байт[*] дата файла: 26.03.2010 23:55:42[/LIST][/LIST]

[B]28.05.2010 17:10:26[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]c:\windows\system32\up.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 16896 байт[*] дата файла: 28.05.2010 15:40:28[*] версия: "1.0.0.0"[*] копирайты: "Copyright © JetSwap 2009"[/LIST][*] [B]c:\windows\system32\safesurf.exe[/B] - [URL=http://www.securelist.com/ru/find?words=not-a-virus:RiskTool.Win32.SafeSurf.a]not-a-virus:RiskTool.Win32.SafeSurf.a[/URL]
[LIST][*] размер: 197120 байт[*] дата файла: 12.03.2010 20:48:34[*] версия: "2.0"[*] копирайты: "Copyright © JetSwap 2009"[/LIST][*] [B]c:\windows\system32\evntstart.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 1079624 байт[*] дата файла: 06.05.2010 12:16:58[*] детект других антивирусов: VBA32: Зловред Worm.Win32.AutoRun.bhyp[/LIST][/LIST]

30.05.2010 11:12:04 лечение успешно завершено